Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 07.09.2017, 08:38
Nortex Nortex ist offline
Registered User
 
Registriert seit: 09.2017
Beiträge: 2
Firewall Ports für FTP-Backup

Guten Morgen zusammen,

ich habe einen vServer (mit Ubuntu 16.04) gemietet und bin vor einiger Zeit von mühseliger Handarbeit auf Plesk umgestiegen. Alles super und toll nur die Plesk-Firewall funktioniert nicht. Geht von seiten des Providers nicht. Nun habe ich mich gegen IP-Tables und für UFW entschieden. Alle Portfreigaben sind konfiguriert und ich bin sehr zufrieden mit UFW. Die Plesk Firewall ist mir eh nicht umfangreich genug (mit IP-Tables geht viel mehr als Plesk zulässt). Nun funktioniert allerdings das Backup per FTP im Backup-Manager nicht mehr. Schalte ich die Firewall wieder aus funktioniert alles wunderbar. Nach einigem Googlen habe ich in einigen Foren gelesen, dass ich neben Port 21 auch noch Port 60000-65534 öffnen muss. Dies habe ich getan, allerdings ohne Ergebnis.
Ich weiß leider nicht weiter, vielleicht hat hier ja jemand eine Lösung.

Folgende Fehlermeldung bekomme ich bei Plesk, wenn ich mit eingeschalteter Firewall ein Backup durchführen will:



MOD: Bilder bitte immer als Anhang. Danke!

LG, Nortex
Miniaturansicht angehängter Grafiken
-judiaab.jpg  

Geändert von Thorsten (07.09.2017 um 11:51 Uhr)
Mit Zitat antworten

  #2  
Alt 07.09.2017, 08:57
ThomasChr ThomasChr ist offline
Registered User
 
Registriert seit: 08.2014
Beiträge: 294
Backup über FTP klingt nach unverschlüsselt... ob das eine gute Idee ist?
Jedenfalls kannst du während des Backupversuchs mal ein tcpdump auf dem anderen System starten - da solltest du sehen an welchen Port es Pakete schickt die nicht durchkommen.
__________________
www.thomaschristlieb.de
Mit Zitat antworten
  #3  
Alt 07.09.2017, 09:30
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 57
Beiträge: 2.947
- Verwende das Modul ip_conntrack
- verwende Passive FTP
- verwende Explizites FTP mit SSL
- Setze Regeln in IPTables
Code:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #4  
Alt 07.09.2017, 09:52
greystone greystone ist offline
Registered User
 
Registriert seit: 05.2016
Beiträge: 242
Ich habe auch hierzu mal wieder eine dumme Frage. Dumm deshalb weil sich die Frage durch das lesen der FTP-RFCs bzw. Protokolldokumentation wahrscheinlich erklären würde. Ich erdreiste mich aber trotzdem mal zu fragen.

Die FTP-Datenverbindung wird ja über initiale Verbindung ausgehandelt. D. h. auch die Ports, über die die sekundäre Datenverbindung dann läuft. Ob da jetzt der passive oder der aktive Modus verwendet wird ist unerheblich.

Bei FTPS(FTP over SSL) kann ein ip_conntrack da doch eigentlich nicht funktionieren. Denn die Verbindung ist verschlüsselt und da ist dann Schluss mit Connection Tracking. Die Daten zum Tracking sind ja in Verschlüsselung eingepackt und können so nicht mehr gelesen werden.

D. h. unverschlüsseltes FTP via ip_conntrack funktioniert toll. Aber über FTPS geht das doch schon rein theoretisch nicht, oder?

Zitat:
Zitat von GwenDragon
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
Damit ist natürlich das halbe Scheunentor offen und Connection Tracking dann natürlich nicht mehr gebraucht.

---

Es gibt wohl noch einige Szenarien, in denen FTP viele Vorteile bringt. Die einfache Firewallintegration gehört aber nie dazu. Deswegen ist eine Alternative(z. B. SFTP(=SSH-FTP) oder rsync) - sofern verfügbar - der einfachere Weg.

Geändert von greystone (07.09.2017 um 10:02 Uhr)
Mit Zitat antworten
  #5  
Alt 07.09.2017, 14:12
ThomasChr ThomasChr ist offline
Registered User
 
Registriert seit: 08.2014
Beiträge: 294
Ich dachte die Verschlüsselung von FTPS erfolgt erst nach dem aushandeln der Ports...
__________________
www.thomaschristlieb.de
Mit Zitat antworten
  #6  
Alt 07.09.2017, 14:22
greystone greystone ist offline
Registered User
 
Registriert seit: 05.2016
Beiträge: 242
Naja die normale FTP-Sitzung wird aufgebaut und darüber läuft ja schon mal einiges(Verzeichnis wechseln, Dateiliste anschauen,... ). Eine FTP-Datensitzung, die die dynamischen Datenports benötigt, wird nur aufgebaut sofern eine Dateiübertragung initiiert wird. D. h. der Aufbau der letzteren findet erheblich später statt, wohingegen die normale FTP-Sitzung direkt bei Sitzungseinrichtung verschlüsselt wird.

Man möge mich korrigieren, wenn ich Unsinn erzähle.

Vielleicht auch nochmal nachlesen...

https://de.wikipedia.org/wiki/File_Transfer_Protocol

Geändert von greystone (07.09.2017 um 14:31 Uhr)
Mit Zitat antworten
  #7  
Alt 07.09.2017, 20:22
Benutzerbild von danton
danton danton ist offline
Registered User
 
Registriert seit: 04.2009
Ort: Ennigerloh
Alter: 44
Beiträge: 2.372
FTPS mit implizierter Verschlüsselung läuft über Port 990 und ist vollständig verschlüsselt (ähnlich wie z.B. bei HTTPS). Verschlüsselung über Port 21 erfolgt über FTPES und da erfolgt ein unverschlüsselter Verbindungsaufbau und die Verschlüsselung wird nachträglich ausgehandelt (ähnlich wie z.B. das STARTTLS bei SMTP). FTPS gilt meines Wissens zu Gunsten von FTPES als veraltet.
__________________
Event-List - PHP/MySQL-Veranstaltungskalender für die eigene Homepage
Mit Zitat antworten
Antwort

Lesezeichen

Stichworte
ftp, ftpes, ftps


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
BackUP FTP Server Daten weg. Eve Vertragsfragen 41 21.03.2013 16:39
1&1 Root Server und Plesk 8.0.1 FTP Backup Fehler andreas_63 Plesk 8 16.10.2007 00:09
Backup auf WebDAV Server (hier:GMX Mediacenter) daralla Virtuelle Server 0 03.09.2007 01:03
Seltsames Firewallverhalten bei neuem S4Y rulaman Dedizierte Server 2 30.06.2006 20:57
Backup automatisch per FTP zum Backup-Server uplaoden lassen bwar Linux 2 30.11.2005 20:40





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.